【正文】 處理。l 網(wǎng)絡狀態(tài)的監(jiān)控：通過上面的網(wǎng)絡管理模塊即可實現(xiàn)對整個網(wǎng)絡系統(tǒng)可用性的統(tǒng)一監(jiān)控。l 應用程序狀態(tài)的監(jiān)控：包括各個關鍵服務的關鍵應用進程的健康情況。應用服務的狀態(tài)監(jiān)控主要體現(xiàn)在三個方面：l 服務器狀態(tài)的監(jiān)控：主要包括服務器的各個性能參數(shù)。應用服務的管理可以采用專用的服務管理軟件，針對不同的應用服務，進行專業(yè)的監(jiān)控管理。目前基于SNMP 的網(wǎng)絡管理系統(tǒng)已廣泛應用于Internet。網(wǎng)絡管理系統(tǒng)的概念模型主要由管理者、管理代理和被管對象等實體及其相互作用組成。通過仔細分析企業(yè)網(wǎng)網(wǎng)絡系統(tǒng)結(jié)構(gòu)，在主要管理產(chǎn)品選型上我們建議采用Cisco 公司基于WINDOWS 2000 的CiscoWorks2000網(wǎng)管軟件實現(xiàn)對整個網(wǎng)絡設備的管理。可實時修改狀態(tài)圖以反映此故障。使用這些信息為網(wǎng)絡建設提供規(guī)劃設計依據(jù)。配置管理l 網(wǎng)絡節(jié)點插板、端口和冗余結(jié)構(gòu)的配置和管理；l 網(wǎng)絡節(jié)點訪問口令的設置和更改。這些管理功能由網(wǎng)管系統(tǒng)和網(wǎng)絡設備共同完成。網(wǎng)管通常結(jié)合硬件和軟件的手段來實施，對不同的拓撲結(jié)構(gòu)及不同的物理和邏輯部分進行監(jiān)控和分析。網(wǎng)絡管理系統(tǒng)完成設置網(wǎng)絡設備、監(jiān)控網(wǎng)絡運行、保障網(wǎng)絡安全，查找并隔離網(wǎng)絡故障，記錄網(wǎng)絡中的各種事件以及劃分虛擬網(wǎng)絡等功能。（也可以只采用計費服務器上的Radius認證）。l 訪問安全控制從確保網(wǎng)絡訪問的安全出發(fā)，路由器對所有遠程撥號訪問連接都由Radius設置AAA(Authentication Authorization Account，即認證、授權(quán)、記帳)級安全控制，防止非法用戶的訪問。CISCO局域網(wǎng)交換機具有MAC 地址過濾功能，通過在交換機上對每個端口進行配置，可以禁止或允許特定MAC 地址的源站點或目的站點，從而實現(xiàn)各站點之間的訪問控制。l MAC 地址過濾策略在內(nèi)部網(wǎng)中還可以利用Cisco 交換機的MAC 地址過濾功能對局域網(wǎng)的訪問提供鏈路層的安全控制。l InterVLAN Routing 原理每一個VLAN 都具有一個標識，不同的VLAN 標識亦不相同，交換機在數(shù)據(jù)鏈路層上可以識別不同的VLAN 標識，但不能修改該VLAN 標識，只有VLAN標識相同的端口才能形成橋接，數(shù)據(jù)鏈路層的連接才能建立，因而不同VLAN的設備在數(shù)據(jù)鏈路層上是無法連通的。虛網(wǎng)是將一個物理上連接的網(wǎng)絡在邏輯上完全分開，這種隔離不僅是數(shù)據(jù)訪問的隔離，也是廣播域的隔離，就如同是物理上完全分離的網(wǎng)絡一樣，是一種安全的防護。l VLAN（虛網(wǎng)）技術(shù)和VLAN 路由技術(shù)VLAN 技術(shù)用以實現(xiàn)對整個局域網(wǎng)的集中管理和安全控制。地址轉(zhuǎn)換（NAT）技術(shù)運用在內(nèi)部主機與外部主機之間的互相訪問的時候，當內(nèi)部訪問者想通過路由器外出時，路由器首先對其進行身份認證通過訪問列表（ACL）核對其權(quán)限，如果通過，則對其進行地址轉(zhuǎn)換，使其以一個對外公開的地址訪問外部網(wǎng)絡；當外部訪問者想進入內(nèi)部網(wǎng)時，路由器同樣首先核對其訪問權(quán)限，然后根據(jù)其目的地址（外部公開的地址），將其數(shù)據(jù)包送到經(jīng)過地址轉(zhuǎn)換的相應的內(nèi)部主機。l 利用地址轉(zhuǎn)換（Network Address Translation，NAT）實現(xiàn)安全保護防火墻另外一個強大功能就是內(nèi)外地址轉(zhuǎn)換。防火墻在內(nèi)外網(wǎng)絡連接中起兩個作用：l 利用訪問控制列表（Access Control List ，ACL）實安全防護防火墻操作系統(tǒng)IOS 通過訪問控制列表（ACL）技術(shù)支持包過濾防火墻技術(shù)，根據(jù)事先確定的安全策略建立相應的訪問列表，可以對數(shù)據(jù)包、路由信息包進行攔截與控制，可以根據(jù)源/目的地址、協(xié)議類型、TCP 端口號進行控制。與外網(wǎng)關聯(lián)業(yè)務的服務器都可以放在DMZ 區(qū)，Internet 上的用戶只能到達DMZ區(qū)相應的服務器。比如CISCO ASA5510BUNK9系列，選擇該型號是因為價格適中,且功能齊全,較適合本企業(yè)網(wǎng)建設。防火墻有三個屬性：所有進出內(nèi)部網(wǎng)的數(shù)據(jù)包必須經(jīng)過它；僅被本地安全策略所授權(quán)的數(shù)據(jù)包才能通過它；防火墻本身對攻擊必須具有免疫能力。連接功能作為內(nèi)部網(wǎng)絡與Internet 之間的單一連接點。防火墻技術(shù)屬于被動防衛(wèi)型，它通過在網(wǎng)絡邊界上建立一個網(wǎng)絡通信監(jiān)控系統(tǒng)來保護內(nèi)部網(wǎng)絡安全的目的，其功能是按照設定的條件對通過的信息進行檢查和過濾。防火墻是設置在內(nèi)部網(wǎng)絡與Internet 之間的一個或一組系統(tǒng)，用以實施兩個網(wǎng)絡間的訪問控制和安全策略。加密系統(tǒng)具有良好的網(wǎng)絡兼容性和可擴展性，實現(xiàn)防竊取、防篡改、防破壞三大功能。采取的安全措施不能影響整個網(wǎng)絡運行效率?？蛻艨稍谡麄€網(wǎng)絡范圍中部署智能服務，如高級QoS 、速率限制、訪問控制列表、組播管理和高性能IP 路由等，且同時保持傳統(tǒng)LAN 交換的簡潔性。企業(yè)網(wǎng)絡接入層設備采用CISCO Catalyst 3560(EMI)交換機，該系列交換機是一個固定配置、企業(yè)級、IEEE 和思科預標準以太網(wǎng)供電(PoE) 交換機系列，工作在快速以太網(wǎng)和千兆位以太網(wǎng)配置下。l 硬件Netflow 可用于主動發(fā)現(xiàn)網(wǎng)絡流量異常，并采取相應措施。Supervisor Engine V10GE 支持基于用戶的速率限制。l 端口安全、DHCP 偵聽、ARP 檢測和IP 源防護能夠防止黑客從第二層及以上發(fā)動拒絕服務（DoS）攻擊或破壞網(wǎng)絡。PoE）數(shù)量：7 臺。l 卓越的服務集成和靈活性將安全和內(nèi)容等高級服務與融合網(wǎng)絡集成在一起，提供從10/100 和10/100/1000 以太網(wǎng)到萬兆以太網(wǎng)，從DS0 到OC48 的各種接口和密度，并能夠在任何部署項目中端到端執(zhí)行。l 可擴展性能利用分布式轉(zhuǎn)發(fā)體系結(jié)構(gòu)提供高達400Mpps 的轉(zhuǎn)發(fā)性能。Cisco Catalyst 6509 的優(yōu)點：l 最長的網(wǎng)絡正常運行時間利用平臺、電源、控制引擎、交換矩陣和集成網(wǎng)絡服務冗余性提供1～3 秒的狀態(tài)故障切換，提供應用和服務連續(xù)性統(tǒng)一在一起的融合網(wǎng)絡環(huán)境，減少關鍵業(yè)務數(shù)據(jù)和服務的中斷。: 企業(yè)網(wǎng)IP地址分配表建筑物設備IP地址子網(wǎng)掩碼總公司中心機房VPN防火墻邊界路由器核心交換機1核心交換機2WEB/FTP服務器認證服務器DNS/DHCP服務器用戶研發(fā)部分布層交換機接入層交換機AP用戶人事部分布層交換機接入層交換機AP用戶市場部分布層交換機接入層交換機AP用戶項目部分布層交換機接入層交換機AP用戶業(yè)務部分布層交換機接入層交換機AP用戶 設備選型本方案中企業(yè)網(wǎng)絡核心層設備采用CISCO Catalyst 6509（Supervisor Engine 720*2/電源*2/FWSM*1/IPSec VPN 模塊*1/IDSM*1/NAM*1/16 口千兆以太網(wǎng)光口板*1/若干5486/48 口千兆電口*1，amp。分布層交換的下連交換機都為接入層網(wǎng)絡。分布層交換機要求至少兩路上行鏈路連至兩臺核心層交換機上，采用快速收斂的路由協(xié)議實現(xiàn)故障切換和負載均衡，當某一鏈路出現(xiàn)意外，也可以從另外一路上連。網(wǎng)絡中心將放置兩臺高端三層千兆交換機和一臺邊界路由器。相應的交換機就是核心交換機、分布層交換機和接入層交換機。劃分區(qū)域主要考慮以下幾個方面：可以減輕中央核心交換機的負擔、管理上方便、便于未來的連接擴充。網(wǎng)管工作站對全網(wǎng)所有交換設備和路由設備進行統(tǒng)一管理、配置和維護；進行故障隔離、分析、統(tǒng)計、報警、設置；網(wǎng)管軟件采用圖形化界面，支持廣泛的網(wǎng)管平臺。設置遠程訪問身份認證，防止垃圾郵件等。內(nèi)網(wǎng)安全設計：訪問控制，通過密碼、口令（不定期修改、定期保存密碼與口令）等禁止非授權(quán)用戶對服務器的訪問，以及對辦公自動化平臺、的訪問和管理、用戶身份真實性的驗證、內(nèi)部用戶訪問權(quán)限設置、ARP病毒的防御、數(shù)據(jù)完整、審計記錄、防病毒入侵。ＤＮＳ數(shù)據(jù)量不大，但訪問頻繁。當網(wǎng)上用戶增多時，網(wǎng)絡訪問很頻繁，通信量很大，隨機性強。公司由總部機房采取一處連接Internet中，設置防火墻等安全軟件，并對外網(wǎng)的遠程登錄設置權(quán)限及相應的安全認證！根據(jù)公司用戶對操作系統(tǒng)的要求：操作系統(tǒng)要求選擇最新版本，所選操作系統(tǒng)需要提供方便的更新與升級方法，服務器操作系統(tǒng)需要能夠提供目錄服務功能，服務器及客戶機操作系統(tǒng)都需要支持TCP/IP協(xié)議，所選操作系統(tǒng)應能夠方便的實現(xiàn)用戶和權(quán)限的管理，秘選操作系統(tǒng)應能夠運行大多數(shù)應用軟件，例如辦公軟件、圖像處理軟件、CAD財?shù)?，我們選擇Linux，它具有極高的穩(wěn)定性、先天的安全性、軟件安裝的便利性、多任務、多使用者、免費或少許費用、有強大的網(wǎng)絡功能、在相關軟件的支持下，可實現(xiàn)WWW、FTP、DNS、DHCP、Email等服務。心交換機與二層交換機以1000M全雙工的方式相連接。不同的部門/單位可以通過配置不同的VLAN等方式來隔離廣播和信息流，不但可以提高網(wǎng)絡效率，而且可以增強網(wǎng)絡安全。匯聚交換及接入交換：二級交換機可以每個獨立構(gòu)成一個VLAN，也可以多個二層交換機構(gòu)成一個VLAN。有一定的前瞻性，不僅滿足當前網(wǎng)上應用，也為將來更高性能的升級作好了預備：網(wǎng)絡具有良好的伸縮性，升級和擴展主要只集中在網(wǎng)絡中心，添加新的接口模塊，即可實現(xiàn)用戶和信息點的擴充；增加光纖連接即可大量提高主干帶寬；中心增配另一臺多層交換機，網(wǎng)絡結(jié)構(gòu)就能連接成可靠性的、真正的中心交換機互備份和上聯(lián)線路冗余。全部的網(wǎng)絡設備均支持高效的Intranet多媒體和多點廣播技術(shù)、治理協(xié)議(CGMP)等，為多媒體和多點廣播應用如IPTV等提供端到端的帶寬保證。核心交換：三層千兆交換機為整個網(wǎng)絡的核心，它對整個網(wǎng)絡的性能，可靠性起決定性作用，它連接各個物理子網(wǎng)，治理網(wǎng)絡內(nèi)信息交換(包括多媒體信息)，控制VLAN間訪問，保證信息安全。核心層與接入層以千兆以太網(wǎng)技術(shù)相連，傳輸速率達1Gbps，采用全雙工通信可達2Gbps。DES8503（3個插槽）作為DLink行業(yè)產(chǎn)品線核心交換機之一，可廣泛的應用在各行業(yè)的IP網(wǎng)核心、企業(yè)數(shù)據(jù)中心、IP城域網(wǎng)核心和匯聚、企業(yè)網(wǎng)核心等場所，為用戶提供多種業(yè)務接入、路由交換一體化的安全融合網(wǎng)絡解決方案?？商峁?0GE、GE、FE等各種豐富的接口模塊，并全面支持IPvIPvMPLS、NAT、組播、QoS、帶寬控制等業(yè)務功能。根據(jù)需求概括，我們選擇的是DLink企業(yè)級的DES8503萬兆核心交換機為本次網(wǎng)路建設總部機房的核心交換；DES8503萬兆核心路由交換機作為新一代大容量、高密度、高性能、模塊化核心路由交換機產(chǎn)品，包轉(zhuǎn)發(fā)速率最大為952Mpps，具備二到四層線速交換能力。采用全交換硬件體系結(jié)構(gòu)，可實現(xiàn)全線速的IP交換；網(wǎng)絡主干采用先進的千兆位以太交換技術(shù)，可最大限度地提高主干的數(shù)據(jù)傳輸速率。 總體網(wǎng)絡采用基于樹型的雙星型結(jié)構(gòu)，使之具有鏈路冗余特性；整體網(wǎng)絡規(guī)劃為核心及服務器群區(qū)域，內(nèi)部骨干區(qū)域（匯聚鏈路），接入層上聯(lián)區(qū)域，客戶端接入?yún)^(qū)域；核心交換機位于公司總部機房，并為雙核心，使用雙主干網(wǎng)絡設計，保證主交換機網(wǎng)絡的容錯。公司IP地址分配滿足分類控制等。公司IP地址分配滿足公司的利用。公司使用私有IP地址空間：。 IP 地址規(guī)劃公司園區(qū)網(wǎng)計劃使用私有的A類IP地址。通過 SNMP 接收隨機消息（及事件報告）網(wǎng)絡管理系統(tǒng)獲知網(wǎng)絡出現(xiàn)問題。SNMP網(wǎng)絡管理協(xié)議：SNMP 用于在 IP 網(wǎng)絡管理網(wǎng)絡節(jié)點（服務器、工作站、路由器、交換機及 HUBS 等）的一種標準協(xié)議，它是一種應用層協(xié)議。TCP/IP ：每種網(wǎng)絡協(xié)議都有自己的優(yōu)點，但是只有TCP/IP允許與Internet完全的連接。實用性：系統(tǒng)具有低成本、使用方便、簡單、易擴展的特點。當用戶的物理位置發(fā)生變化時可以在非常簡便的調(diào)整下重新連接；布線系統(tǒng)適應各種計算機網(wǎng)絡結(jié)構(gòu)，如以太網(wǎng)、高速以太網(wǎng)、令牌環(huán)網(wǎng)、ATM網(wǎng)等。工作站子系統(tǒng)傳輸速率達到100Mb/S，水平系統(tǒng)傳輸速率達到1000Mb/s,滿足現(xiàn)在和未來數(shù)據(jù)的信息傳輸?shù)男枨?；主干系統(tǒng)傳輸速率達到1000Mb/s,同時具有較高的帶寬，滿足現(xiàn)在和未來的圖像、影像傳輸?shù)男枨?。在設計園區(qū)網(wǎng)的原則上應該要求設備的可管理性，同時先進的網(wǎng)管軟件可以支持網(wǎng)絡維護、監(jiān)控、配置等功能?；赪eb的網(wǎng)管界面，是網(wǎng)管軟件的發(fā)展趨勢，靈活的操作方式簡化了管理人員的工作。網(wǎng)管軟件的應用可以提高網(wǎng)絡管理的效率，減輕網(wǎng)絡管理人員的負擔。在進